Asegurar los encabezados HTTP

Según RFC 6265 sección 5.2 , los atributos individuales del encabezado Set-Cookie se procesan en independientemente del orden en que se encuentren, y la Secure y HttpOnly se usan simplemente para establecer valores discretos sin referencia o relación entre los dos:

  

8. Si la lista de atributos de cookie contiene un atributo con un       nombre de atributo de "Seguro", establezca la marca de seguridad de la cookie solo en       cierto. De lo contrario, establezca la marca de seguridad de la cookie solo en falso.

  

9. Si la lista de atributos de cookie contiene un atributo con un       nombre de atributo de "HttpOnly", establezca el indicador de solo-http de la cookie en       cierto. De lo contrario, establezca la bandera de solo-http de la cookie en falso.

  

Entonces, no, de acuerdo con el RFC, el orden en el que están listados no importa. Cada uno establecerá una sola bandera, independientemente de si el otro está ausente, presente o en un orden variable.

Tampoco he oído hablar de una implementación que se haya preocupado por el pedido (aunque estoy seguro de que algo, en alguna parte, se equivoca, no me preocuparía).

Tenga en cuenta que esta es una pregunta ligeramente diferente a el que @BadSkillz hizo referencia en su comentario, que tiene que ver con el orden de los encabezados; Esto tiene que ver con el orden de los campos dentro de un encabezado particular.

...

Completamente casualmente, yo habilitó las marcas de Seguridad y HttpOnly para las cookies ASM F5 en uno de mis sistemas hoy. El F5 ASM incluirá dos cookies para ayudar a hacer su magia WAF-y. Tan pronto como lo habilité, lo probé y estas son las cookies que enviaron (... para ancho):

Set-Cookie: TS01145f87=01ca34131874c763...6207; Path=/; Secure; HTTPOnly 
Set-Cookie: TS013fdbf2=01ca341318b0cba9...b198; path=/ui/; HTTPonly; Secure

Entonces, para dos cookies establecidas por una pieza de software con un punto de configuración, terminó con diferentes órdenes para los atributos.